Forwarded from FrontSecOps (Михаил Парфенов)
Frontend-фишинг с использованием JS Notification / Push API
Эти API предоставляют js-коду📱 возможность показывать нативные уведомления браузера на устройстве пользователя. Push API (в отличии от Notification API) может показывать уведомления даже при закрытой вкладке браузера ⚠️ , а на мобильных устройствах даже при закрытом браузере, поэтому рассмотрим именно его.
Исходные данные
Наше frontend-приложение уже запрашивало разрешение на показ уведомлений либо запросит, и пользователи согласятся (доверяют нашей компании).
В случае с мобильными устройствами пользователи добавили наше web-приложений на экран "Домой", что дает web-приложению права PWA (progressive web app), в том числе права на отправку push-уведомлений.
Предположим, что в ваш проект попал вредоносный js-код (с новыми версиями зависимостей, в результате компрометации сервера, сгенерирован "плохой" нейросетью и т.д.), а именно в код Service Worker (требование для вызова Push API, для Notification API в любое место в js-коде).
Злоумышленник получает возможность подключиться к своему серверу push-уведомлений и показывать пользователю нативные уведомления с любой картинкой/текстом/возможностью при клике редиректить пользователя на любой сайт⚠️ . Это открывает безграничные возможности для фишинга 🤒
⚠️ С вашего счета произведен перевод денег..
⚠️ Заказ № 123456 оформлен, сумма 14 793 руб., дата доставки..
⚠️ Обнаружен вирус на устройстве, выберите действие..
⚠️ Ваш почтовый ящик заблокирован..
⚠️ Кто-кто входит в ваш аккаунт..
Далее - кража учетных данных🪪 , загрузка вредоносного вложения с эксплойтом 💣 и т.п.
На Desktop и Android в push-уведомлении можно показать любую картинку (логотип банка, мессенджера, популярного приложения). В iOS всегда будет отображаться иконка нашего сайта.
Если неквалифицированные пользователи / люди в возрасте доверяют баннерам "про обновление антивируса" на сайтах с кулинарными рецептами, то нативным уведомлениям на мобильном устройстве могут поверить даже опытные пользователи.
Злоумышленники "хотят" наш frontend больше💰 , чем мы думаем… А уязвимости браузеров 📱 🌐 делают frontend-приложения идеальной точкой проникновения на устройства пользователей.
Как защититься?
🔹Контролировать использование WebAPI в frontend-приложении: Service Worker API, Push API, Notification API
🔹Контролировать целостность js-кода, включая код Service Worker
🔹Проводить инвентаризацию js-кода, включая динамически загружаемый, в runtime браузера при выполнении основных E2E-сценариев
🔹Контроль при каждом релизе и периодически в продакшене + реагирование
@FrontSecOps
Эти API предоставляют js-коду
Исходные данные
Наше frontend-приложение уже запрашивало разрешение на показ уведомлений либо запросит, и пользователи согласятся (доверяют нашей компании).
В случае с мобильными устройствами пользователи добавили наше web-приложений на экран "Домой", что дает web-приложению права PWA (progressive web app), в том числе права на отправку push-уведомлений.
Предположим, что в ваш проект попал вредоносный js-код (с новыми версиями зависимостей, в результате компрометации сервера, сгенерирован "плохой" нейросетью и т.д.), а именно в код Service Worker (требование для вызова Push API, для Notification API в любое место в js-коде).
Злоумышленник получает возможность подключиться к своему серверу push-уведомлений и показывать пользователю нативные уведомления с любой картинкой/текстом/возможностью при клике редиректить пользователя на любой сайт
Далее - кража учетных данных
На Desktop и Android в push-уведомлении можно показать любую картинку (логотип банка, мессенджера, популярного приложения). В iOS всегда будет отображаться иконка нашего сайта.
Если неквалифицированные пользователи / люди в возрасте доверяют баннерам "про обновление антивируса" на сайтах с кулинарными рецептами, то нативным уведомлениям на мобильном устройстве могут поверить даже опытные пользователи.
Злоумышленники "хотят" наш frontend больше
Как защититься?
🔹Контролировать использование WebAPI в frontend-приложении: Service Worker API, Push API, Notification API
🔹Контролировать целостность js-кода, включая код Service Worker
🔹Проводить инвентаризацию js-кода, включая динамически загружаемый, в runtime браузера при выполнении основных E2E-сценариев
🔹Контроль при каждом релизе и периодически в продакшене + реагирование
@FrontSecOps
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from white2hack 📚
𝐃𝐢𝐬𝐜𝐨𝐯𝐞𝐫 12 𝐀𝐈 𝐭𝐨𝐨𝐥𝐬 𝐭𝐨 𝐚𝐮𝐭𝐨𝐦𝐚𝐭𝐞 𝐲𝐨𝐮𝐫 𝐏𝐞𝐧𝐭𝐞𝐬𝐭 𝐚𝐧𝐝 𝐂𝐲𝐛𝐞𝐫𝐬𝐞𝐜𝐮𝐫𝐢𝐭𝐲 𝐚𝐮𝐝𝐢𝐭𝐬! 🧠⚔️
1. 🧠 PentestGPT
LLM-based tool that simulates a step-by-step penetration testing process, emulating a realistic attack workflow.
2. 🤖 Auto-Pentest-GPT-AI
An AI-powered framework using GPT-4 to perform automated pentests with logical, chain-of-thought exploration.
3. 🔍 BurpGPT
A Burp Suite extension that integrates GPT to analyze requests/responses and suggest payloads or detect vulnerabilities.
4. 🌐 ReconAIzer
An AI-driven reconnaissance assistant using GPT-4 to interpret recon tool results and recommend next steps.
5. 🔐 PassGAN
A generative adversarial network trained to generate real-world passwords based on leaked data — a smart brute-force ally.
6. 🧩 Nuclei AI Extension
Official extension for Nuclei that uses AI to suggest and create new detection templates from HTTP responses.
7. 💣 HackGPT
A GPT-powered hacking CLI to assist with payload crafting, bypass techniques, and offensive noscripting.
8. 🛡 AutorizePro
Authorization fuzzing tool with GPT integration to generate smarter test cases and detect access control issues.
9. ☁️ CloudGPT
Uses GPT to identify misconfigurations and vulnerabilities in cloud environments like AWS, GCP, and Azure.
10. 📦 K8sGPT
Diagnoses misconfigurations and vulnerabilities in Kubernetes clusters, explained in natural language via LLMs.
11. 📉 Garak
NVIDIA’s tool for red-teaming and probing LLMs, designed to test model safety, robustness, and leakage.
12. 🧭 Auto Recon LLM
Automates the reconnaissance phase using LLMs to interpret recon output and make tactical decisions.
#AI
1. 🧠 PentestGPT
LLM-based tool that simulates a step-by-step penetration testing process, emulating a realistic attack workflow.
2. 🤖 Auto-Pentest-GPT-AI
An AI-powered framework using GPT-4 to perform automated pentests with logical, chain-of-thought exploration.
3. 🔍 BurpGPT
A Burp Suite extension that integrates GPT to analyze requests/responses and suggest payloads or detect vulnerabilities.
4. 🌐 ReconAIzer
An AI-driven reconnaissance assistant using GPT-4 to interpret recon tool results and recommend next steps.
5. 🔐 PassGAN
A generative adversarial network trained to generate real-world passwords based on leaked data — a smart brute-force ally.
6. 🧩 Nuclei AI Extension
Official extension for Nuclei that uses AI to suggest and create new detection templates from HTTP responses.
7. 💣 HackGPT
A GPT-powered hacking CLI to assist with payload crafting, bypass techniques, and offensive noscripting.
8. 🛡 AutorizePro
Authorization fuzzing tool with GPT integration to generate smarter test cases and detect access control issues.
9. ☁️ CloudGPT
Uses GPT to identify misconfigurations and vulnerabilities in cloud environments like AWS, GCP, and Azure.
10. 📦 K8sGPT
Diagnoses misconfigurations and vulnerabilities in Kubernetes clusters, explained in natural language via LLMs.
11. 📉 Garak
NVIDIA’s tool for red-teaming and probing LLMs, designed to test model safety, robustness, and leakage.
12. 🧭 Auto Recon LLM
Automates the reconnaissance phase using LLMs to interpret recon output and make tactical decisions.
#AI
Forwarded from Android Guards
Я частенько говорю о том, что Samsung слишком много себе позволяют когда лезут в разные части Android и переписывают их на свой лад. Но беда в том, что лезут они не только в Android, но и в более глубинные слои. Что из этого выходит? Уязвимости конечно.
Ребята из Quarkslab сделали отличный доклад по эксплуатации уязвимостей в цепочке загрузки Samsung Galaxy A225F. Точка старта - феерическая. Кастомный JPEG парсер, который ребята из Samsung вкрячили в Little Kernel. Конечно же этот парсер содержал уязвимость (или бэкдор? 🌚), которая позволяла выполнять произвольный код. Чем и воспользовались исследователи.
Очень интересный, технический доклад. Рекомендую!
Ребята из Quarkslab сделали отличный доклад по эксплуатации уязвимостей в цепочке загрузки Samsung Galaxy A225F. Точка старта - феерическая. Кастомный JPEG парсер, который ребята из Samsung вкрячили в Little Kernel. Конечно же этот парсер содержал уязвимость (или бэкдор? 🌚), которая позволяла выполнять произвольный код. Чем и воспользовались исследователи.
Очень интересный, технический доклад. Рекомендую!
YouTube
Attacking Samsung Galaxy A* Boot Chain, and Beyond
During our previous research on Android File-Based encryption, we studied the boot chain of some Samsung devices based on Mediatek system on chips. Our objective was to exploit a known boot ROM vulnerability to bypass the secure boot and ultimately retrieve…
Forwarded from AlexRedSec
Очередной релиз содержит множество изменений и дополнений, среди которых и описание новых групп злоумышленников, их кампаний, используемого ПО и, конечно же, новые техники и меры защиты.
Советую ознакомиться с удобочитаемым описанием изменений, где можно вплоть до запятой рассмотреть новшества
Для себя отметил следующие интересные изменения:
#mitre #attack #technique #ttp #apt
Please open Telegram to view this post
VIEW IN TELEGRAM
😱1
Forwarded from Inf0 | ИБ, OSINT
Wireshark_Display_Filters.pdf
38 KB
📄 Шпаргалка по фильтрам отображения в Wireshark
Одной из полезных функций Wireshark является Фильтр отображения (Display Filter)
При применении данного фильтра из всего захваченного трафика Wireshark отображает только те кадры, которые соответствуют указанному пользователем выражению, другие данные — скрываются программой (они не удаляются из захваченного фрагмента сетевого трафика и будут вновь доступны после отмены фильтра)
#Wireshark #CheatSheet #Guide✈️ inf0
Одной из полезных функций Wireshark является Фильтр отображения (Display Filter)
При применении данного фильтра из всего захваченного трафика Wireshark отображает только те кадры, которые соответствуют указанному пользователем выражению, другие данные — скрываются программой (они не удаляются из захваченного фрагмента сетевого трафика и будут вновь доступны после отмены фильтра)
#Wireshark #CheatSheet #Guide
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from FrontSecOps (Михаил Парфенов)
Frontend SSDLC и уязвимости браузеров
29 апреля 2025 вышла версия (136.0.7103.59) Google Chrome с исправлением CVE-2025-4096 -⚠️ high-уязвимости в Chrome 📱 и Chromium-based браузерах. Уязвимость класса Heap buffer overflow в движке HTML. Эксплуатация уязвимости (создание на веб-странице специального сформированного фрагмента) может привести к выполнению произвольного кода на устройстве пользователя. За обнаружение уязвимости исследователю было выплачено 5000$ 💰
Это уже не первая опасная уязвимость в Chromium в этом году.
Заражение устройств пользователей⌨️ через эксплуатацию уязвимостей браузеров - один из способов монетизации злоумышленниками внедрения вредоносного js-кода в frontend-приложения. Вредоносный код может попасть в js-приложение со сторонними библиотеками (npm-зависимости ✈️ ) или через внешние js-сервисы 📱 (системы аналитики, счетчики, тег-менеджеры и т.п.).
Внедрение вредоносного js-кода в популярное приложение/сайт дает возможность заразить значительное количество устройств пользователей, а также проникать в корпоративные сети. Через frontend-приложения возможно заразить устройства даже во внутренних сетях без интернета⚠️
Например, вы устанавливаете новую версию внутрисетевого приложения (ERP, CRM, SIEM, WAF, VM или любое другое ПО с браузерным UI, даже SAST, DAST, SCA, веб сейчас повсюду), а вендор ПО не проверяет frontend-часть на вредоносное поведение (ограничивается только проверкой версий зависимостей по базам известных уязвимостей).
Далее вредоносный js-код, при открытии пользователем страницы🖥 :
1. эксплуатирует уязвимость браузера🌐
2. имитирует скачивание файла (pdf, docx, ...) с эксплойтом для офисного ПО💣
3. показывает фишинговые уведомления🤒 ⌨️
В итоге: заражение устройства пользователя в корпоративной сети без интернета и дальнейшее развитие атаки🤒
Анализируйте поведение ваших frontend-приложений🔍 (целью являются ваши пользователи!) и требуйте этого от поставщиков используемого ПО. Даже внутрисетевого⚠️
@FrontSecOps
29 апреля 2025 вышла версия (136.0.7103.59) Google Chrome с исправлением CVE-2025-4096 -
Это уже не первая опасная уязвимость в Chromium в этом году.
Заражение устройств пользователей
Внедрение вредоносного js-кода в популярное приложение/сайт дает возможность заразить значительное количество устройств пользователей, а также проникать в корпоративные сети. Через frontend-приложения возможно заразить устройства даже во внутренних сетях без интернета
Например, вы устанавливаете новую версию внутрисетевого приложения (ERP, CRM, SIEM, WAF, VM или любое другое ПО с браузерным UI, даже SAST, DAST, SCA, веб сейчас повсюду), а вендор ПО не проверяет frontend-часть на вредоносное поведение (ограничивается только проверкой версий зависимостей по базам известных уязвимостей).
Далее вредоносный js-код, при открытии пользователем страницы
1. эксплуатирует уязвимость браузера
2. имитирует скачивание файла (pdf, docx, ...) с эксплойтом для офисного ПО
3. показывает фишинговые уведомления
В итоге: заражение устройства пользователя в корпоративной сети без интернета и дальнейшее развитие атаки
Анализируйте поведение ваших frontend-приложений
@FrontSecOps
Please open Telegram to view this post
VIEW IN TELEGRAM
Перезагрузка таблицы Менделеева? Открыта новая система атомов для измерения времени с точностью до немыслимого / Наука и космос / iXBT Live
https://www.ixbt.com/live/science/perezagruzka-tablicy-mendeleeva-otkryta-novaya-sistema-atomov-dlya-izmereniya-vremeni-s-tochnostyu-do-nemyslimogo.html
https://www.ixbt.com/live/science/perezagruzka-tablicy-mendeleeva-otkryta-novaya-sistema-atomov-dlya-izmereniya-vremeni-s-tochnostyu-do-nemyslimogo.html
iXBT Live
Перезагрузка таблицы Менделеева? Открыта новая система атомов для измерения времени с точностью до немыслимого / Наука и космос…
Великое творение Дмитрия Ивановича Менделеева — Периодическая таблица химических элементов — уже более 150 лет служит фундаментальной картой для химиков всего мира.
Forwarded from Наука
Нейросети сами выстраивают отношения, схожие с человеческими.
Исследование показало, что ИИ-агенты, созданные на базе крупных языковых моделей (LLM), таких как ChatGPT, при групповом взаимодействии без внешнего вмешательства начинают усваивать языковые паттерны и социальные нормы, аналогичные тем, что возникают в человеческом общении. Искусственный интеллект научился договариваться и сотрудничать, словно люди.
Профессор науки о сложных системах Андреа Баронкелли подчеркнул значимость открытия: оно создает предпосылки для формирования новых горизонтов исследований в сфере этики и безопасности ИИ. Эти исследования позволят лучше понять последствия присутствия автономных систем в нашей жизни и подготовиться к будущему, которое будет сформировано таким типом технологий.
💻 @naukatv_ru
Исследование показало, что ИИ-агенты, созданные на базе крупных языковых моделей (LLM), таких как ChatGPT, при групповом взаимодействии без внешнего вмешательства начинают усваивать языковые паттерны и социальные нормы, аналогичные тем, что возникают в человеческом общении. Искусственный интеллект научился договариваться и сотрудничать, словно люди.
Профессор науки о сложных системах Андреа Баронкелли подчеркнул значимость открытия: оно создает предпосылки для формирования новых горизонтов исследований в сфере этики и безопасности ИИ. Эти исследования позволят лучше понять последствия присутствия автономных систем в нашей жизни и подготовиться к будущему, которое будет сформировано таким типом технологий.
💻 @naukatv_ru
Forwarded from Банкста
Т-Банк запустил первого в России ассистента по информационной безопасности с ИИ. Safeliner в пять раз быстрее человека находит и исправляет уязвимости внутри компании, а также не допускает их появления. Это снижает нагрузку на разработчиков, благодаря оптимизации кода в экосистеме Т. Использование AI-ассистента сэкономит Т-Технологиям более 1 млрд рублей ежегодно. Сейчас несколько партнеров тестируют продукт, а в будущем доступ к нему откроют для всех компаний на рынке. @banksta
Forwarded from Echelon Eyes
Исследователь с помощью OpenAI o3 обнаружил уязвимость типа use-after-free (CVE-2025-37899) в модуле ksmbd ядра Linux. Модель анализировала код частями, выявив ошибку в обработке SMB logoff, где возможен доступ к освобожденной памяти.
Модель ИИ o3 не только нашла уязвимость, но и точно определила условия её возникновения. Это первый случай самостоятельного обнаружения ИИ сложной уязвимости в ядре ОС.
Разработчики Linux уже выпустили исправление. Это открытие демонстрирует растущую роль ИИ в кибербезопасности, особенно при анализе больших объёмов кода.
#ИИ #уязвимость
Источник: https://eyes.etecs.ru/r/436ddf
Модель ИИ o3 не только нашла уязвимость, но и точно определила условия её возникновения. Это первый случай самостоятельного обнаружения ИИ сложной уязвимости в ядре ОС.
Разработчики Linux уже выпустили исправление. Это открытие демонстрирует растущую роль ИИ в кибербезопасности, особенно при анализе больших объёмов кода.
#ИИ #уязвимость
Источник: https://eyes.etecs.ru/r/436ddf
Sean Heelan's Blog
How I used o3 to find CVE-2025-37899, a remote zeroday vulnerability in the Linux kernel’s SMB implementation
In this post I’ll show you how I found a zeroday vulnerability in the Linux kernel using OpenAI’s o3 model. I found the vulnerability with nothing more complicated than the o3 API ̵…
Катехизис Хайльмайера: Опросник для оценки исследовательской идеи
Что вы пытаетесь сделать?
*Опишите цель проекта простыми словами, без профессионального жаргона.*
Цель должна быть понятна неспециалисту. Чётко сформулируйте, какую проблему решает проект и какой результат вы хотите получить.
## 2. Как эта задача решается сегодня и в чём ограничения текущих решений?
*Опишите существующие подходы и их недостатки.*
Обоснуйте, почему текущие методы недостаточны или неэффективны. Это важно, чтобы показать необходимость вашего подхода.
## 3. Что нового вы предлагаете и почему считаете, что это сработает?
*Укажите, в чём заключается новизна и чем обоснована ожидаемая успешность.*
Это может быть новый метод, технология или принцип. Обоснуйте, почему ваша идея лучше или радикально отличается от существующих решений.
## 4. Кому это нужно?
*Кто выиграет от успешной реализации проекта и какое влияние это окажет?*
Покажите значимость проекта. Это может быть научное сообщество, отрасль, государство или общество в целом.
## 5. Каковы риски и потенциальные выгоды?
*Опишите возможные неудачи, слабые места, а также ожидаемую пользу в случае успеха.*
Будьте честны: новаторские проекты почти всегда сопряжены с рисками. Важно также показать масштаб возможного успеха.
## 6. Во сколько это обойдётся?
*Примерная смета расходов.*
Укажите ресурсы: бюджет, оборудование, персонал и прочее. Подумайте, какие этапы требуют наибольших затрат.
## 7. Сколько времени это займёт?
*Оцените продолжительность проекта по фазам.*
Разбейте проект на логические этапы и оцените сроки каждого. Важно показать реалистичность плана.
## 8. Как вы поймёте, что достигли успеха?
*Какие метрики или проверки подтвердят успешность проекта?*
Что вы пытаетесь сделать?
*Опишите цель проекта простыми словами, без профессионального жаргона.*
Цель должна быть понятна неспециалисту. Чётко сформулируйте, какую проблему решает проект и какой результат вы хотите получить.
## 2. Как эта задача решается сегодня и в чём ограничения текущих решений?
*Опишите существующие подходы и их недостатки.*
Обоснуйте, почему текущие методы недостаточны или неэффективны. Это важно, чтобы показать необходимость вашего подхода.
## 3. Что нового вы предлагаете и почему считаете, что это сработает?
*Укажите, в чём заключается новизна и чем обоснована ожидаемая успешность.*
Это может быть новый метод, технология или принцип. Обоснуйте, почему ваша идея лучше или радикально отличается от существующих решений.
## 4. Кому это нужно?
*Кто выиграет от успешной реализации проекта и какое влияние это окажет?*
Покажите значимость проекта. Это может быть научное сообщество, отрасль, государство или общество в целом.
## 5. Каковы риски и потенциальные выгоды?
*Опишите возможные неудачи, слабые места, а также ожидаемую пользу в случае успеха.*
Будьте честны: новаторские проекты почти всегда сопряжены с рисками. Важно также показать масштаб возможного успеха.
## 6. Во сколько это обойдётся?
*Примерная смета расходов.*
Укажите ресурсы: бюджет, оборудование, персонал и прочее. Подумайте, какие этапы требуют наибольших затрат.
## 7. Сколько времени это займёт?
*Оцените продолжительность проекта по фазам.*
Разбейте проект на логические этапы и оцените сроки каждого. Важно показать реалистичность плана.
## 8. Как вы поймёте, что достигли успеха?
*Какие метрики или проверки подтвердят успешность проекта?*